認証にPAM LDAPを使用するDebian 10システムがあります。 LDAPには、グループのメンバーであるalice2人のユーザーがいます。最近、私のグループで奇妙なことが見つかるまで(何が起こっているのかわからない)、すべてがうまく機能していました(したがって、設定があまりにも大きく離れてはいけません)。bobmygroup
ldapsearchユーザーをaliceグループのメンバーとして報告しますmygroup。getent groupユーザーをaliceグループのメンバーとしてマークしますmygroup(そうする必要があります)。root@tux:~# getent group | grep mygroup mygroup:*:1210:alice,bobidするいいえaliceグループメンバーとして報告するmygroup:root@tux:~# id alice uid=1200(alice) gid=1200(alice) groups=1200(alice)bob驚くべきことに、多くのユーザーが次の組織のメンバーであることが報告されていますmygroup。root@tux:~# id bob uid=1201(bob) gid=1201(bob) groups=1210(mygroup),1201(bob)
これまで、私は両方ともgetentNSS id(Name Service Exchange Library)から情報を取得すると思います。混乱しています。トラブルシューティング方法に関するいくつかのヒントを知りたいです。
答え1
一部のLDAP実装では、グループメンバーシップだけでなく、ユーザーが属するグループも定義する必要があります。 (1つは他方を暗示しません。両方の関係は明示的に明示されるべきです。)
LDAPレコードの表示アリスそして単発、グループメンバーシップが表示されますか?その場合は確認してください。アリスそして単発彼らは実際にmygroupのメンバーです。
同様に、以下を見てください。私のグループ、そして確認アリスそして単発すべてそのメンバーです。